Matcha Meta confirmă hackingul după o pierdere de 16,8 milioane USD

Platforma de agregare swap și bridge construită de 0x, Matcha Meta, a pierdut 16,8 milioane de dolari în active digitale din cauza unei breșe de securitate SwapNet, conform platformei de securitate Web3 PeckShield.

Matcha Meta a dezvăluit luni că a suferit o exploatare de securitate în weekend, unde atacatorii au escrocat tokenuri de la un agregator extern integrat în interfața Matcha Meta numit SwapNet. Platforma a declarat că utilizatorii care au dezactivat funcția „One-Time Approvals" și au acordat permisiuni directe de token către agregatoare individuale au fost expuși riscului de a-și pierde fondurile.

În declarația agregatorului swap pe X, MM a declarat că a devenit conștient de activitatea suspectă după ce înregistrări ale mișcărilor mari și neautorizate de tokenuri din contractul router al SwapNet au apărut în registrele tranzacționale. Platforma a confirmat că a contactat echipa SwapNet, care a „dezactivat temporar contractele sale" pentru a preveni mai multe pierderi. 

Hackerul Matcha Meta a schimbat 3.000 de monede Ether de la victime

Conform firmei de securitate blockchain PeckShield, atacatorul a drenat fonduri prin aprobări de tokenuri și swap-uri. Aceștia au mutat aproximativ 10,5 milioane USDC de la adresele victimelor pe Base, un blockchain Ether layer-2, apoi au schimbat stablecoin-urile pentru 3.655 Ether, consolidând valoarea într-un activ mai lichid.

După finalizarea swap-urilor, atacatorul a început să transfere Ether-ul de la Base la mainnet-ul Ethereum pentru a ascunde orice urmă de tranzacție. Bridging-ul este procesul de transfer al activelor între blockchain-uri folosind contracte inteligente sau protocoale intermediare. Deși este considerat „legitim" în cele mai multe cazuri, hackerii îl folosesc deoarece face aproape imposibilă urmărirea operațiunilor lor.

Făptuitorul acordase anterior alocări de tokenuri pentru a muta fonduri fără semnătura utilizatorului, care acordă permisiunea unui contract inteligent să cheltuiască tokenurile lor. Dacă o alocare este setată ca nelimitată, un contract malițios sau compromis poate drena fonduri până când soldul este epuizat. 

Matcha Meta a declarat că utilizatorii care au interacționat cu platforma folosind sistemul One-Time Approval nu au fost afectați. Această funcție direcționează permisiunile de tokenuri prin contractele AllowanceHolder și Settler ale 0x, limitând expunerea unui trader prin acordarea de aprobări pentru o singură tranzacție. 

„După revizuirea cu echipa de protocol a 0x, am confirmat că natura incidentului nu a fost asociată cu contractele AllowanceHolder sau Settler ale 0x", a scris Matcha Meta pe X ulterior. Compania a adăugat că utilizatorii care au dezactivat One-Time Approvals și au stabilit alocări directe pe contractele de agregare „își asumă riscurile fiecărui agregator".

Platforma de swap DEX a eliminat funcția pentru utilizatori de a stabili alocări directe pe agregatoare prin interfața sa, cerând în același timp comunității să revoce orice permisiuni existente pe contractul router al SwapNet. 

Hack-urile de contracte inteligente DeFi persistă în 2026

Incidentul Matcha Meta vine la doar șase zile după ce Makina Finance, un protocol de finanțe descentralizate cu caracteristici de execuție automată, a suferit o breșă de rețea care a drenat pool-ul său de lichiditate DUSD/USDC pe Curve.

Conform raportului Cryptopolitan, hackerii au extras aproximativ 1.299 Ether din pool-ul de stablecoin Curve al Makina, în valoare de 4,13 milioane de dolari la acel moment. Breșa a implicat furnizori de lichiditate non-custodial conectați la un oracol de prețuri on-chain, un flux de date folosit de contractele inteligente pentru a determina valorile activelor. 

Conform firmei de analiză blockchain Elliptic, o mare parte din spălarea de bani de pe dark web-ul de astăzi implică servicii de swap de monede, inclusiv schimburi instantanee care funcționează prin site-uri web independente sau canale Telegram.

Anul trecut, agregatorul de schimb descentralizat CoWSwap a raportat o breșă care a dus la pierderi de peste 180.000 de dolari. Aproximativ 180.000 de dolari în DAI au fost furați prin contractul inteligent de execuție a tranzacțiilor GPv2Settlement al CoWSwap.

Platforma a declarat că contractul compromis a avut acces doar la taxele de protocol colectate pe parcursul unei săptămâni, provenind din exploatarea unui cont solver. În modelul CoWSwap, utilizatorii semnează intenții de tranzacționare care sunt transmise către solveri terți, care concurează pentru a oferi cele mai bune prețuri și pentru a stoca taxele colectate.

Cele mai inteligente minți crypto citesc deja buletinul nostru informativ. Vrei să te alături? Alătură-te lor.